Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Penyerang Log4j beralih untuk menyuntikkan penambang Monero melalui RMI

by

Beberapa pelaku ancaman yang mengeksploitasi kerentanan Apache Log4j telah beralih dari LDAP callback URL ke RMI atau bahkan menggunakan keduanya dalam satu permintaan untuk peluang keberhasilan maksimum.

Pergeseran ini merupakan perkembangan penting dalam serangan yang sedang berlangsung dan yang perlu diwaspadai oleh para Defender ketika mencoba mengamankan semua vektor potensial.

Untuk saat ini, tren ini diamati oleh pelaku ancaman yang ingin membajak sumber daya untuk penambangan Monero, tetapi yang lain dapat mengadopsinya kapan saja.

Sebagian besar serangan yang menargetkan kerentanan Log4j “Log4Shell” telah terjadi melalui layanan LDAP (Lightweight Directory Access Protocol).

Peralihan ke API RMI (Remote Method Invocation) tampaknya kontra-intuitif pada awalnya, mengingat mekanisme ini tunduk pada pemeriksaan dan batasan tambahan, tetapi tidak selalu demikian.

Beberapa versi JVM (Java Virtual Machine) tidak memiliki kebijakan yang ketat, dan karena itu, RMI terkadang dapat menjadi saluran yang lebih mudah untuk mencapai RCE (eksekusi kode jarak jauh) daripada LDAP.

Dalam serangan yang dilihat oleh Juniper Labs, pelaku ancaman tertarik untuk menambang Monero di server yang disusupi dan menyajikannya sebagai aktivitas yang hampir tidak berbahaya yang “tidak akan merugikan orang lain.”

Penambang menargetkan sistem Linux x84_64 dan menambahkan kegigihan melalui subsistem cron.

Meskipun sebagian besar serangan sejauh ini menargetkan sistem Linux, CheckPoint melaporkan bahwa analisnya menemukan executable Win32 pertama yang memanfaatkan Log4Shell, yang disebut ‘StealthLoader.’

Satu-satunya cara yang layak untuk mempertahankan diri dari apa yang telah menjadi salah satu kerentanan paling berpengaruh dalam sejarah baru-baru ini adalah dengan update Log4j ke versi 2.16.0.

Selain itu, admin harus mengawasi bagian keamanan Apache untuk pengumuman rilis versi baru dan segera menerapkannya.

Untuk panduan mitigasi dan sumber informasi teknis lengkap, lihat halaman detail CISA di Log4Shell.

Selengkapnya: Bleeping Computer

Bug Log4j Dimanfaatkan Oleh Ransomware Gang Untuk Menyerang Server Minecraft

by

Sejumlah kecil pelanggan Minecraft yang menjalankan server mereka sendiri dengan versi Log4j yang rentan telah terkena ransomware Khonsari, Microsoft melaporkan pada hari Rabu.

Raksasa perangkat lunak yang berbasis di Redmond, Wash. mengatakan bahwa musuh telah mengirim pesan berbahaya dalam game ke server Minecraft yang rentan. Server kemudian mengeksploitasi kerentanan Log4j untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server serta klien rentan yang terhubung, menurut Microsoft.

“Karena pergeseran lanskap ancaman, Microsoft mengulangi panduan bagi pelanggan Minecraft yang menjalankan server mereka sendiri untuk menerapkan pembaruan server Minecraft terbaru dan bagi pemain untuk berhati-hati dengan hanya menghubungkan ke server Minecraft yang tepercaya,” tulis tim intelijen ancaman terpadu Microsoft dalam sebuah posting blog.

Ransomware Khonsari dikemas sebagai Java class file berbahaya dan dieksekusi dalam konteks javaw.exe untuk menebus perangkat. Microsoft mengatakan temuannya mengkonfirmasi laporan sebelumnya dari Bucharest, Bitdefender yang berbasis di Rumania bahwa Khonsari ransomware dikirimkan sebagai muatan setelah eksploitasi kerentanan Log4j.

Minecraft telah mengarahkan pelanggan yang menghosting server mereka sendiri untuk mengunduh file ke direktori kerja tempat server mereka berjalan atau menambahkan argumen JVM ke baris perintah startup mereka tergantung pada versi yang mereka gunakan. Selain itu, klien yang dimodifikasi dan launcher pihak ketiga mungkin tidak diperbarui secara otomatis, dan Minecraft telah memberi tahu pengguna dalam posisi itu untuk mengikuti saran dari penyedia pihak ketiga mereka.

Selengkapnya: CRN

Peretas Mulai Mengeksploitasi Kerentanan Log4j Kedua sebagai Munculnya Cacat Ketiga

by

Perusahaan infrastruktur web Cloudflare pada hari Rabu mengungkapkan bahwa aktor ancaman secara aktif mencoba untuk mengeksploitasi bug kedua yang diungkapkan dalam utilitas logging Log4j yang banyak digunakan, sehingga sangat penting bagi pelanggan untuk bergerak cepat untuk menginstal versi terbaru karena rentetan serangan terus menghantam sistem yang belum ditambal dengan berbagai malware.

Lebih mengkhawatirkan lagi, para peneliti di firma keamanan Praetorian memperingatkan kelemahan keamanan ketiga yang terpisah di Log4j versi 2.15.0 yang dapat “memungkinkan eksfiltrasi data sensitif dalam keadaan tertentu.” Rincian teknis tambahan dari cacat telah dirahasiakan untuk mencegah eksploitasi lebih lanjut, tetapi belum jelas apakah ini telah diatasi dalam versi 2.16.0.

Perkembangan terbaru datang ketika kelompok ancaman persisten canggih dari China, Iran, Korea Utara, dan Turki, termasuk Hafnium dan Fosfor, telah terjun ke medan untuk mengoperasionalkan kerentanan dan menemukan dan terus mengeksploitasi sebanyak mungkin sistem yang rentan untuk serangan lanjutan. Lebih dari 1,8 juta upaya untuk mengeksploitasi kerentanan Log4j telah dicatat sejauh ini.

Meskipun biasanya pelaku ancaman melakukan upaya untuk mengeksploitasi kerentanan yang baru diungkapkan sebelum diperbaiki, kelemahan Log4j menggarisbawahi risiko yang timbul dari rantai pasokan perangkat lunak ketika bagian utama dari perangkat lunak digunakan dalam berbagai produk di beberapa vendor dan disebarkan oleh pelanggan mereka di seluruh dunia.

Selengkapnya: The Hacker News

Analisis: Kerentanan Log4j Menyoroti Nilai Defense-in-Depth, Inventaris Akurat

by

Banyak tim keamanan telah bekerja keras selama beberapa hari terakhir untuk menilai dan mengatasi paparan organisasi mereka terhadap CVE-2021-44228, alias “Log4Shell,” sebuah kelemahan yang diungkapkan dalam library logging berbasis Java Log4j yang populer.

Insiden ini adalah satu lagi dalam rangkaian panjang serangan rantai pasokan, kemungkinan besar melampaui kompromi rantai pasokan perangkat lunak SolarWinds pada akhir 2020 dalam hal dampak keseluruhannya.

Ini menyoroti nilai besar dari inventaris yang akurat dan tepat waktu, pada berbagai tingkat abstraksi. Secara khusus, terkait dengan Log4j, tantangannya signifikan; adalah perpustakaan yang digunakan secara luas yang sering kali tidak hanya ada di banyak sistem tetapi juga dapat dipanggil dari lokasi yang berbeda.

Dengan inventaris komponen perangkat lunak, pembuat perangkat lunak dapat mengambil langkah-langkah untuk mengidentifikasi masalah ini dengan cepat, dan salah satu metode tersebut adalah konsep yang disebut software bill of materials (SBOM) — deskripsi yang akurat, tepat waktu, dan mudah dikonsumsi dari blok bangunan dasar komponen perangkat lunak.

Untuk vendor, SBOM dapat membantu mereka mendapatkan informasi tepat waktu kepada pelanggan mereka tentang apakah produk tertentu terpengaruh. Untuk pengguna akhir, memiliki SBOM yang tepat untuk aplikasi utama secara signifikan memperpendek siklus triase, karena mereka berpotensi mengambil tindakan untuk membatasi akses ke aplikasi yang terpengaruh, atau bahkan menjadikannya offline, hingga perbaikan tersedia.

Prinsip-prinsip keamanan yang telah terbukti, seperti defense-in-depth dan hak istimewa yang paling rendah, juga memiliki peran yang kuat untuk dimainkan. Banyak tim keamanan memahami konsep ini dengan baik dan ingin menerapkannya pada perangkat lunak dan penyebaran solusi organisasi mereka, tetapi mereka sering mendapat penolakan dari pemangku kepentingan lain, atau kekurangan sumber daya untuk menerapkannya.

Hak istimewa terendah juga memainkan peran kunci, di tingkat host, aplikasi, dan jaringan. Di tingkat host, hak istimewa dan kemampuan aktual apa yang benar-benar dibutuhkan oleh proses yang memanfaatkan Log4j? Semakin, penggunaan prinsip-prinsip hak istimewa paling rendah ditambah pemantauan perilaku bersama perlindungan runtime dapat bertindak sebagai kombinasi yang kuat untuk menahan dampak dari sistem yang dieksploitasi.

Selengkapnya: Dark Reading

Emotet mulai menjatuhkan Cobalt Strike lagi untuk serangan yang lebih cepat

by

Tepat pada waktunya untuk liburan, malware Emotet yang terkenal sekali lagi secara langsung memasang beacon Cobalt Strike untuk serangan siber yang cepat.

Bagi mereka yang tidak akrab dengan Emotet, Emotet dianggap sebagai salah satu infeksi malware paling luas dan didistribusikan melalui email phishing yang menyertakan lampiran berbahaya.

Secara historis, setelah perangkat terinfeksi, Emotet akan mencuri email korban untuk digunakan dalam kampanye mendatang dan kemudian menjatuhkan muatan malware, seperti TrickBot dan Qbot.

Namun, awal bulan ini, Emotet mulai menguji pemasangan beacon Cobalt Strike pada perangkat yang terinfeksi alih-alih muatan reguler mereka.

Cobalt Strike adalah alat pentesting sah yang biasanya digunakan oleh pelaku ancaman untuk menyebar secara lateral melalui organisasi dan akhirnya menyebarkan ransomware di jaringan.

Joseph Roosen dari grup Cryptolaemus Emotet mengatakan kepada BleepingComputer bahwa Emotet sekarang mengunduh modul Cobalt Strike langsung dari server perintah dan kontrolnya dan kemudian menjalankannya di perangkat yang terinfeksi.

Dengan beacon Cobalt Strike yang dipasang langsung oleh Emotet, pelaku ancaman yang menggunakannya untuk menyebar secara lateral melalui jaringan, mencuri file, dan menyebarkan malware akan memiliki akses langsung ke jaringan yang disusupi.

Akses ini akan mempercepat proses serangan, dan dengan itu tepat sebelum liburan, Emotet dapat menyebabkan banyak pelanggaran karena perusahaan sekarang memiliki staf yang terbatas untuk memantau dan menanggapi serangan.

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan oleh peretas yang didukung negara

by

Seperti yang diharapkan, peretas negara-bangsa dari semua jenis telah mengambil kesempatan untuk mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2021-44228) di library logging berbasis Java Apache Log4j.

Juga dikenal sebagai Log4Shell atau LogJam, kerentanan sekarang digunakan oleh pelaku ancaman yang memiliki kaitan dengan pemerintah di Cina, Iran, Korea Utara, dan Turki, serta broker akses yang digunakan oleh geng ransomware.

Di antara aktor ancaman pertama yang memanfaatkan Log4Shell untuk menjatuhkan muatan adalah grup penambangan cryptocurrency dan botnet, yang mulai menyerang segera setelah kode eksploitasi proof-of-concept tersedia.

Salah satu pelakunya adalah kelompok ancaman Iran Fosfor – juga dilacak sebagai Charming Kitten, APT 35, yang diamati Microsoft “memperoleh dan membuat modifikasi” pada eksploitasi Log4Shell.

Aktor ancaman negara-bangsa lain yang memanfaatkan bug Log4Shell adalah Hafnium, grup peretas yang terkait dengan China.

Microsoft mengatakan bahwa Hafnium sekarang menggunakan Log4Shell dalam serangan terhadap infrastruktur virtualisasi “untuk memperluas penargetan tipikal mereka”.

Terlepas dari aktor negara-bangsa, Microsoft telah mengkonfirmasi bahwa broker yang menyediakan akses jaringan awal ke berbagai kelompok, sebagian besar bermotivasi finansial juga mulai mengeksploitasi kelemahan Log4j.

Broker akses awal biasanya bekerja dengan operasi ransomware-as-a-service (RaaS), di mana mereka menjual akses ke jaringan perusahaan yang disusupi.

Log4Shell juga telah digunakan dalam serangan ransomware dari aktor baru bernama Khonsari, sebuah laporan dari Bitdefender menunjukkan.

Mengingat kerusakan yang dapat disebabkan oleh bug ini, Badan Keamanan Infrastruktur Keamanan Siber (CISA) telah memerintahkan lembaga federal untuk segera menambal sistem yang terpengaruh.

Selengkapnya: Bleeping Computer

Log4j: Seberapa Kacaukah Kita?

by

Bug Apache log4j yang ditemukan beberapa waktu lalu adalah sebuah mimpi buruk. Menurut Jen Easterly, direktur Badan Keamanan Cybersecurity dan Infrastruktur Amerika, ini adalah “salah satu yang paling serius” yang dia lihat dalam “masa karirnya.”

Meskipun pengguna web sehari-hari tidak dapat berbuat banyak tentang seluruh situasi ini, mungkin bermanfaat untuk mengetahui apa yang terjadi. Inilah ikhtisar singkat tentang semua mimpi buruk itu.

Bug Terburuk di Web

Pustaka logging Log4j diimplementasikan oleh para engineer untuk merekam bagaimana program berjalan; mereka memungkinkan audit kode dan merupakan mekanisme rutin untuk menyelidiki bug dan masalah fungsionalitas lainnya.

Karena log4j gratis dan dipercaya secara luas, perusahaan besar dan kecil telah menggunakannya untuk semua jenis hal. Ironisnya, tentu saja, alat pemeriksa bug ini sekarang memiliki bug.

Peneliti keamanan telah menyebut kerentanan tersebut sebagai “Log4Shell” karena eksploitasi yang tepat dapat mengakibatkan akses shell (juga disebut “akses kode jarak jauh”) ke sistem server. Kerentanan tersebut membawa peringkat keparahan 10 pada skala Sistem Skor Kerentanan Umum.

Secara teknis, bug tersebut adalah kerentanan eksekusi kode jarak jauh zero-day, yang berarti “memungkinkan penyerang mengunduh dan menjalankan skrip pada server yang ditargetkan, membiarkannya terbuka untuk kendali jarak jauh”, ungkap Bitdefender.

Siapa yang Terkena Dampak?

Karena keberadaan log4j yang ada di mana-mana, sebagian besar platform terbesar di internet rentan dengan bencana tersebut. Menurut berbagai laporan, yang terkena dampak termasuk nama-nama besar seperti Apple, Twitter, Amazon, LinkedIn, CloudFlare, dan banyak lagi.

Amazon jelas merupakan salah satu perusahaan terbesar dalam daftar tersebut. Raksasa teknologi telah secara teratur menerbitkan pembaruan yang terkait dengan produk dan layanannya (yang tampaknya ada beberapa), sementara Apple, baru-baru ini mengkonfirmasi bahwa iCloud terpengaruh oleh bug tersebut dan kemudian telah menambal nya.

Perusahaan lain masih menyelidiki apakah mereka telah terdampak atau tidak, termasuk raksasa teknologi seperti Blackberry, Dell, Huawei, dan Citrix, serta perusahaan teknologi terkemuka seperti SonicWall, McAfee, TrendMicro, Oracle, Qlik, dan banyak lagi lainnya.

Serangan: Datang

Sebagian besar masalahnya adalah bahwa sebagian besar penjahat tampaknya telah mengetahui tentang kerentanan log4j pada waktu yang hampir bersamaan dengan orang lain.

Dengan demikian, upaya eksploitasi pada sistem dan platform yang rentan telah meningkat secara eksponensial sejak minggu lalu—karena peretas di seluruh web dengan fanatik berusaha memanfaatkan situasi unik yang mengerikan ini.

“Sangat mungkin bahwa ransomware pada akhirnya akan memanfaatkan kerentanan log4j. Terutama karena sistem yang rentan kemungkinan merupakan aset penting seperti server,” kata Sergio Caltagirone, Wakil Presiden Intelijen Ancaman di perusahaan keamanan siber Dragos.

Memang benar, perusahaan keamanan siber Bitdefender menerbitkan penelitian pada hari Selasa yang tampaknya menunjukkan upaya eksploitasi pada mesin yang rentan oleh keluarga ransomware baru yang dikenal sebagai “Khonsari”.

Dan, sementara ransomware adalah salah satu perhatian utama, profesional keamanan siber lainnya telah menulis tentang berbagai macam upaya eksploitasi yang mereka lihat—seperti yang menjalankan keseluruhan mulai dari cryptomining dan instalasi botnet, hingga lebih banyak aktivitas jenis pengintaian, seperti pemindaian umum dan penyebaran suar Cobalt-Strike.

Jika Anda pengguna web biasa, satu-satunya hal yang benar-benar dapat Anda lakukan saat ini adalah memperbarui perangkat dan aplikasi Anda saat diminta dan berharap platform yang Anda andalkan cukup cepat untuk mengidentifikasi kerentanan, membuat patch, dan mendorong pembaruan.

Selengkapnya: Gizmodo

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic